比特币的繁荣与量子威胁——后量子算法是对抗量子计算机的有力武器，反量子币来了。

亚瑟·赫尔曼

比特币会成为世界新的储备货币吗？ 随着比特币变得越来越主流——例如，PayPal 已经采用了飞速发展的加密货币作为支付方式，Twitter 的 Jack Dorsey 也认可了它的使用——一些评论员肯定会这么认为。 圣路易斯联邦储备银行行长吉姆布拉德甚至发表声明称，比特币对全球经济中的美元没有威胁——这是一个在马进入谷仓门之前试图锁上谷仓门的例子。

比特币对投资者和金融机构的吸引力是多方面的。 与政府发行的货币不同，比特币的供应受到严格限制，这表明其货币稳定性让人想起金本位时代的一些黑暗时期。 此外，比特币使用加密系统来保护所有参与者共享的分类账中的每笔交易，形成所谓的块——因此得名区块链。 一些人称区块链是自电子市场出现以来银行业最大的创新。 技术大师乔治吉尔德认为，区块链加密甚至可以成为未来数字经济的保障，在保护隐私和安全的同时确保用户的灵活性。

或者，会吗？ 大约两年半前，我在这里发表了一篇关于大型量子计算机对区块链构成的危险的专栏文章。 我写道：“量子技术将打破非对称加密系统使用的复杂算法来保护几乎所有电子数据，包括区块链……更具体地说，区块链依靠 ECC——椭圆曲线密码术——来执行身份验证，这种算法可以被未来的量子计算机破解。因此，区块链不是解决我们所有网络安全漏洞的答案，但可能会变得像网络浏览器、VPN 和其他系统一样脆弱。”

现在，随着比特币热潮的增长，其他人也开始问同样的问题。 有些可以追溯到 2017 年，这是新加坡国立大学的 Divesh Aggarwal 进行的一项研究，当时比特币最后一次走向历史高位。 Aggarwal 被迫得出结论，未来量子计算机对比特币的威胁是真实存在的，而且危险不容忽视。

其他人仍然坚持认为量子计算机的威胁是炒作。 2020 年 12 月，Roger Huang 在 forbes.com 上自信地写了一篇题为“这就是为什么量子计算不会破坏加密货币”的专栏，断言“量子计算机被添加到组合中，不会突然使经典加密模型变得无用，挖矿也不会微不足道——目前的‘量子霸权’并不意味着你的加密或比特币的安全此时处于危险之中。” （我强调）。

然而，大多数关于比特币和量子计算机的评论都在反其道而行之。 一个月后，Cointelegraph 的一篇文章和我一起指出，强大的量子计算机可能会对所有依赖 ECDSA（椭圆曲线数字签名算法）的区块链构成威胁，包括比特币和以太坊。

德勤最近的一份报告深入研究了技术噪音，指出比特币有两种类型的交易。 第一种是使用“pay to public key”（p2pk）来存储其操作，这是比特币早期的主导地址。 报告指出，事实上，创始人中本聪本人开采的许多原始币仍存储在这些地址中。

问题是，由于所有比特币交易都是公开的，任何人都可以从任何 p2pk 地址获取公钥。 运行 Shor 算法的量子计算机然后可以使用该密钥来破解私钥——也就是说，除非有适当的抗量子防御措施。 后面会有更多的介绍。

在第二种类型的比特币交易中，收件人的地址由公钥的哈希值形成，这是一种称为“支付公钥哈希值”(p2pkh) 的单向加密函数。 也就是说，公钥不是由地址直接透露的。 乍一看，这应该意味着使用这些地址的交易应该更加安全可靠。

不幸的是量子计算比特币量子计算比特币，正如德勤报告所解释的那样，由于未来量子计算机的解密能力，所有 p2pk 地址和 p2pkh 地址中的硬币使用超过一次的都将同样容易受到量子攻击。 即使量子计算机的发展速度没有专家目前预测的那么快，该报告也得出结论：“量子计算机对比特币区块链的安全性构成了严峻挑战。”

面对这些事实，连罗杰·黄也不得不承认：“真正的威胁是在量子计算机的规模比今天大得多的时候。” 他补充说：“可以想象，这些攻击媒介，也许还有其他更不可预测的途径可能会出现。” 幸运的是，“加密货币可以更新为使用后量子加密标准并抵抗这些弱点”——这是我在 2018 年最初的专栏中提出的观点。

好吧，一切都取决于两个因素。 首先是大规模量子计算机的发展速度——问题不在于它们是否会出现，而是何时出现。 第二个是比特币投资者愿意承担多大的风险，以及公司创始人——甚至其公民面临量子计算机风险的政府——愿意等到他们采取必要步骤使用后量子密码学来防止量子计算机的入侵； 采用量子平衡账本等企业后量子安全区块链； 最后转向分布式账本技术，其节点实际上依赖于量子计算机。

在比特币繁荣变成比特币泡沫之前，让我们问问究竟需要什么来确保加密货币的未来像它的拥护者所设想的那样光明？